لطفا کمی صبر نمایید . . .
The Parstic Menu will only work on JavaScript enabled browsers.
صفحه اصلي
سفارش خدمات
همکاري با مرکز
دريافت فايل
تماس با ما
صفحه اصلي
سفارش خدمات
همکاري با مرکز
دريافت فايل
تماس با ما
فارسی
English
معرفی
خدمات آگاهیرسانی و آموزش
خدمات فنی و عملیات
خدمات تحقیق و توسعه
جستجو :
آسیبپذیری تزریق کد در SQL و XSS در نرمافزار Wireless Control System محصول شرکت Cisco
توسط :
nsec
تاریخ :
دوشنبه 8 شهریور 1389
گروه :
اﻋﻼن آسیبپذیری
تعداد بازدید :
460 بار
چکیده :
چندین مورد آسیبپذیری در نرمافزار Wireless Control System محصول شرکت Cisco گزارش شدهاست که میتواند توسط کاربران خرابکار جهت حمله تزریق SQL و یا توسط نفوذگران خارجی جهت انجام حمله XSS مورد سوءاستفاده قرار گیرد.
عنوان
آسیبپذیری تزریق کد در SQL و XSS در نرمافزار Wireless Control System محصول شرکت Cisco
تاریخ
08/06/1389
شناسه آپا
APAIUT-90-89049
سطح خطر
آدرس دریافت وصله
شرح
چندین مورد آسیبپذیری در نرمافزار Wireless Control System محصول شرکت Cisco گزارش شدهاست که میتواند توسط کاربران خرابکار جهت حمله تزریق SQL و یا توسط نفوذگران خارجی جهت انجام حمله XSS مورد سوءاستفاده قرار گیرد.
1- مقدار ورودی به پارامتر searchText در مسیر webacs/QuickSearchAction.do قبل از بازگشت به کاربر به درستی بررسی نمیشود. این مورد نقص امنیتی میتواند جهت اجرای کُد دلخواه HTML و اسکریپت در نشست مرورگر کاربر در یک سایت آلوده مورد سوءاستفاده قرار گیرد.
2- مقدار یکی از ورودیها در مسیری اعلام نشده، قبل از بازگشت به کاربر به درستی بررسی نمیشود. این مورد نقص امنیتی نیز میتواند جهت اجرای کُد دلخواه HTML و اسکریپت در نشست مرورگر کاربر در یک سایت آلوده مورد سوءاستفاده قرار گیرد.
3- مقدار یکی از ورودیهای مسیرهای searchClientAction.do و switchGeneralAction.do قبل از بازگشت به کاربر به درستی بررسی نمیشود. این مورد نقص امنیتی نیز میتواند جهت اجرای کُد دلخواه HTML و اسکریپت در نشست مرورگر کاربر در یک سایت آلوده مورد سوءاستفاده قرار گیرد.
4- مقدار یکی از ورودیها قبل از استفاده در دستورات SQL به درستی بررسی نمیشود. این مورد نقص امنیتی میتواند جهت دستکاری دستورات SQL با استفاده از قراردادن کُد دلخواه SQL مورد سوءاستفاده قرار گیرد. سوءاستفاده موفقیتآمیز از این آسیبپذیری میتواند منجر به ایجاد تغییر در پیکربندی سیستم، اضافه کردن، تغییر دادن و یا حذف کاربران و یا تغییر در پیکربندی دستگاههای wireless تحت مدیریت نرمافزار شود.
راه حل
بهروزرسانی به نسخه 6.0.196 و یا بالاتر.
منبع
http://www.cisco.com/en/US/docs/wireless/controller/release/notes/crn7.0.html
http://www.cisco.com/warp/public/707/cisco-sa-20100811-wcs.shtml
http://www.tomneaves.com/Cisco_Wireless_Control_System_XSS.txt
اخبار مرتبط :
آسیبپذیری سرریز بافر telnetd در Cisco IronPort Appliances
(شنبه 8 بهمن 1390)
مشکل امنیتی حساب کاربری Root در سیستمهای TelePresence شرکت Cisco
(شنبه 1 بهمن 1390)
آسیبپذیری عبور از محدودیتهای امنیتی در Cisco Digital Media Manager
(شنبه 1 بهمن 1390)
آسیبپذیری در مقابل حملات Brute Force در Wi-Fi Protected Setup (WPS) protocol برخی تجهیزات Cisco
(سه شنبه 27 دی 1390)
دو آسیبپذیری در Cisco Security Agent
(شنبه 7 آبان 1390)
آسیبپذیری در Cisco WebEx Player
(شنبه 7 آبان 1390)
یک آسیبپذیری در چندین محصول شرکت Cisco در بخش پیمایش دایرکتوریها
(شنبه 7 آبان 1390)
4 مورد آسیبپذیری منتهی به از کار افتادن سرویس در Cisco Unified Communications Manager
(سه شنبه 22 شهریور 1390)
آسیبپذیری در Cisco Unified Communications Manager و Cisco Unified Presence Server
(سه شنبه 22 شهریور 1390)
آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در نشستهای SSH2 در Cisco IOS
(سه شنبه 22 شهریور 1390)
آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در Cisco IOS و در پروتکل Data-Link Switching
(سه شنبه 22 شهریور 1390)
آسیبپذیری منتهی به از کار افتادن سرویسدهی در Cisco ASR 9000
(سه شنبه 4 مرداد 1390)
دو مورد آسیبپذیری در رابط مدیریتی تحت وب Cisco SA 500
(سه شنبه 4 مرداد 1390)
آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در Content Services Gateway محصول Cisco
( یک شنبه 19 تیر 1390)
ارتقای دسترسی و دور زدن سیاستهای امنیتی در تلفنهای Cisco Unified IP Phone
(دوشنبه 16 خرداد 1390)
چندین آسیبپذیری در مسیریابهای گیگابیت سیسکو مدلهای RVS4000 و WRVS4400N
( یک شنبه 8 خرداد 1390)
چندین مورد آسیبپذیری در Cisco IOS XR
( یک شنبه 8 خرداد 1390)
آسیبپذیری منتهی به DoS در هنگام پردازش URL در Cisco Content Delivery System
(شنبه 7 خرداد 1390)
آسیبپذیری منتهی به XSS در پارامتر device در CiscoWorks Common Services
( چهارشنبه 4 خرداد 1390)
آسیبپذیری Directory Traversal در CiscoWorks Common Services
(سه شنبه 3 خرداد 1390)
چندین آسیبپذیری منتهی به حملات XSS و تزریق SQL در Cisco Unified Operations Manager
(سه شنبه 3 خرداد 1390)
چندین آسیبپذیری در Unified Communications Manager محصول Cisco
( چهارشنبه 14 اردیبهشت 1390)
آسیبپذیری مرتبط با گواهینامه باطل شده در زیرسیستم OCSP سیستم عامل Cisco IOS
( یک شنبه 11 اردیبهشت 1390)
آسیبپذیری منتهی به DoS در مدیریت ICMP درکنترلگرهای WLAN شرکت Cisco
( یک شنبه 11 اردیبهشت 1390)
آسیبپذیری در تغییر گذرواژه در Cisco Secure Access Control System
( یک شنبه 14 فروردین 1390)
چندین آسیبپذیری در محصولات Cisco Unified Videoconfrencing
(شنبه 29 آبان 1389)
آسیبپذیری دستیابی به سطح دسترسی بالاتر در نرمافزار Cisco Unified Communication Manager
(دوشنبه 17 آبان 1389)
آسیبپذیری نشت حافظه در سرویس SSL VPN منتهی به از کار افتادن سرویس(DoS) در سیستم عامل IOS محصول شرکت Cisco
( چهارشنبه 7 مهر 1389)
چندین آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در سیستم عامل IOS محصول شرکت Cisco
( چهارشنبه 7 مهر 1389)
آسیبپذیری منتهی به از کار افتادن سرویس در پردازش IGMPv3 در سیستم عامل IOS محصول شرکت Cisco
( چهارشنبه 7 مهر 1389)
دو مورد آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در نرمافزار Unified Communications Manager محصول شرکت Cisco
( چهارشنبه 7 مهر 1389)
دو مورد آسیبپذیری منتهی به از کار افتادن سرویس(DoS) در پروتکل H.323 در سیستم عامل IOS محصول شرکت Cisco
( یک شنبه 4 مهر 1389)
سه مورد آسیبپذیری منتهی به از کار افتادن سرویس در پیادهسازی NAT در سیستم عامل IOS محصول شرکت Cisco
(شنبه 3 مهر 1389)
چندین مورد آسیبپذیری در تجهیزات کنترل Wireless LAN شرکت Cisco
( چهارشنبه 31 شهریور 1389)
آسیبپذیری منتهی به از کار افتادن سرویس (DoS) در پردازش پروتکل Border Gateway در سیستم عامل IOS XR محصول شرکت Cisco
(شنبه 13 شهریور 1389)
دو مورد آسیبپذیری منتهی به از کار افتادن سرویس (DoS) در نرمافزار Cisco Unified Communications Manager
(شنبه 13 شهریور 1389)
دو مورد آسیبپذیری منتهی به از کار افتادن سرویس (DoS) در نرمافزار Cisco Unified Presence
(شنبه 13 شهریور 1389)
آسیبپذیری سرریز بافر در حین پردازش فایلهای ARF در نرمافزار WebEx Player محصول شرکت Cisco
(سه شنبه 9 شهریور 1389)
چندین آسیبپذیری منتهی به از کار افتادن سرویس (DoS) در تجهیزات سری ASA 5500 محصول شرکت Cisco
(دوشنبه 1 شهریور 1389)
چندین مورد آسیبپذیری منتهی به از کار افتادن سیستم (DoS) در محصولات ACE شرکت Cisco
(دوشنبه 1 شهریور 1389)
آسیبپذیری منتهی به DoS در مدیریت اتصال TCP در Cisco IOS
(دوشنبه 25 مرداد 1389)
چندین آسیبپذیری DoS در نرمافزار Firewall Services Module محصول شرکت Cisco
(شنبه 23 مرداد 1389)
آسیبپذیری امکان تزریق متن رمز نشده در حین مذاکره مجدد برای برقراری نشست TLS در محصولات مختلف Cisco
(دوشنبه 11 مرداد 1389)
آسیبپذیری فراخوانی نامهای Community در پروتکل SNMP در تجهیزات سری Industrial Ethernet 3000 شرکت سیسکو
( چهارشنبه 23 تیر 1389)
چندین آسیبپذیری در تجهیزات Network Building Mediator شرکت Cisco
(سه شنبه 8 تیر 1389)
چندین آسیبپذیری منتهی به DoS در سافتسوئیچ سیسکو سری PGW 2200
(شنبه 1 خرداد 1389)
وجود آسیببپذیری در دو رده از Wi-Fiهای سیسکو
(سه شنبه 31 فروردین 1389)
نقطه ضعف امنیتی در کتابخانه Microsoft AntiXSS هنگام پردازش محتوای CSS
(دوشنبه 26 دی 1390)
آسیبپذیری منتهی به حملات XSS در Encoding مرورگر Internet Explorer
( چهارشنبه 5 مرداد 1390)
دو مو رد آسیبپذیری منتهی به XSS در Joomla
(شنبه 1 مرداد 1390)
آسیبپذیری XSS در پارامتر VIEWSTATE در نرمافزار DotNetNuke
(شنبه 20 آذر 1389)
آسیبپذیری XSS در بخش جستجوی پایگاه داده در نرمافزار phpMyAdmin
(دوشنبه 15 آذر 1389)
آسیبپذیری XSS در پارامتر wptouch_settings افزایه WPtouch نرمافزار WordPress
(شنبه 13 آذر 1389)
آسیبپذیری CAS در نرمافزار Babylon
(سه شنبه 25 آبان 1389)
آسیبپذیری منتهی به XSS در مسیر meeting_testjava.cgi در سیستم عامل IVE OS محصول Juniper
( چهارشنبه 19 آبان 1389)
کشف آسیبپذيری Cross-Site Scripting در نرمافزار مديريت محتوای يکتاوب
( چهارشنبه 12 آبان 1389)
کشف آسیبپذيری Cross-Site Scripting در دو محصول High-CMS و High-Portal شرکت آريانيک
( چهارشنبه 12 آبان 1389)
کشف آسیبپذيری Cross-Site Scripting در نرمافزار مديريت محتوای Elkapax
( چهارشنبه 12 آبان 1389)
آسیبپذیری XSS در phpMyAdmin
( چهارشنبه 31 شهریور 1389)
چندین آسیبپذیری XSS در نرمافزار phpMyAdmin
( چهارشنبه 3 شهریور 1389)
آسیبپذیری XSS در افزونه سرور وب نرمافزار Nessus محصول Tenable
(شنبه 16 مرداد 1389)
آسیبپذیری XSS و افشای اطلاعات در MediaWiki محصول بنیاد WikiMedia
(دوشنبه 11 مرداد 1389)
آسیبپذیری XSS در سیستم عامل IVE بهکار گرفته شده در تجهیزات شرکت Juniper
( چهارشنبه 30 تیر 1389)
چندین آسیبپذیری در مرورگر Chrome محصول شرکت Google
(سه شنبه 8 تیر 1389)
وجود آسیبپذیری XSS در روتر بیسیم DIR-615 محصول شرکت D-Link
(سه شنبه 8 تیر 1389)
آلوده شدن بیش از یک میلیون صفحهی اینترنتی در اثر حملات SQL Injection موسوم به Lilupophilupop
(شنبه 17 دی 1390)
آسیبپذیری تزریق SQL در WordPress
(شنبه 13 آذر 1389)
